CVE-2026-33936 in python-ecdsathông tin

Tóm tắt

Bởi VulDB • 17/06/2026

Gói PyPI `ecdsa` là một triển khai thuần Python của ECC (Mật mã học đường cong elliptic) với hỗ trợ cho ECDSA (Thuật toán chữ ký số đường cong elliptic), EdDSA (Thuật toán chữ ký số đường cong Edwards) và ECDH (Diffie-Hellman trên đường cong elliptic). Trước phiên bản 0.19.2, một vấn đề trong các hàm phân tích cú pháp DER cấp thấp có thể gây ra việc ném các ngoại lệ không mong muốn từ các hàm thuộc API công khai. `ecdsa.der.remove_octet_string()` chấp nhận đầu vào DER bị cắt cụt (truncated) khi độ dài được mã hóa vượt quá bộ đệm khả dụng. Ví dụ, một OCTET STRING tuyên bố độ dài 4096 byte nhưng chỉ cung cấp có 3 byte sẽ được phân tích cú pháp thành công thay vì bị từ chối. Do đó, đầu vào DER được tạo ra đặc biệt (crafted) có thể khiến `SigningKey.from_der()` ném ra một ngoại lệ nội bộ (`IndexError: index out of bounds on dimension 1`) thay vì từ chối sạch sẽ các định dạng DER không hợp lệ (ví dụ: ném `UnexpectedDER` hoặc `ValueError`). Các ứng dụng phân tích khóa riêng tư ở định dạng DER không đáng tin cậy có thể bị treo nếu chúng không xử lý các ngoại lệ bất ngờ, dẫn đến tình trạng từ chối dịch vụ. Phiên bản 0.19.2 đã vá lỗi này.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

24/03/2026

Tiết lộ

28/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00476

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!